有个足球雷竞技app网络世界最近询问了CISO集团的联合创始人和管理合作伙伴,联合创始人和管理合作伙伴,举办了与安全社区三个部门的代表的圆桌会议:一名分析师和供应商的从业者。广泛的谈话从今天从威胁状态到风险管理失败的所有事情都感动,需要分享信息和用户遭受的大规模攻击。
Shimel:大家好,这是CISO集团联合创始人,共同创始人和管理合作伙伴,欢迎来到一个有个足球雷竞技app圆桌会议安全。我们圆桌会议的主题是“看到它,保护它,控制它:高级安全智能到Outsmart攻击者。”我们幸运的是,今天是一群梦幻般的人:凯文克尔,首席信息安全官员,或Ciso,奥克岭国家实验室是世界领先的研究实验室之一;Richard Stiennon,前Gartner分析师和现在的IT收获的首席分析师;亚当奥丹尔,SourceFire的云部门首席建筑师。
在新闻中:您可能会惊讶于此安全测试的Web浏览器
赠品:有询问的免费安全工具
凯文,你在这场战争的前线我们正在接受网络安全攻击者,所以我要从你开始。您是否在最近看到了海洋的变化在攻击的种类中,方法攻击者的种类正在使用?
克尔:我认同。他们曾经敲门或穿过窗户或墙壁。如今,他们更依赖于此社会工程学试图让堡垒里面的人让他们进入,是否通过网络钓鱼或恶意软件或类似的东西。因此,他们仍然努力避免检测,希望他们能够获得一个小立足点,一旦他们进入,那么它就会有趣的时间。
Shimel:但安全行业并没有坐在手上。亚当,行业如何回应?
O'Donnell:游戏无疑变得更具挑战性,不仅因为攻击者现在有了盈利的动机,还因为有国家参与其中,愿意不惜任何代价闯入一个系统。在某些方面,这个行业的技术已经变成了安全带,你必须帮助它才能保护你,但它们并不能保护你进入的每一种情况。为了应对更有挑战性的威胁,无论是来自国家的攻击者,还是来自试图进入网络的个人或团体,我们需要开始使用可以根据你的特定环境进行修改的技术,它能让你控制你的特定网络所看到的威胁,也能让你看到最近可能发生的事情。[也看:“到底什么是“高级持续威胁”?“
Shimel:理查德,你在Catbird的座位里,你一方面与像凯文这样的人交谈,另一方面,与亚当这样的供应商交谈。你的接受是什么?我们是否通过了需要一个新的解决方案时代的新时代,或者我们在这里处理很多炒作?
Stiennon:实际上,不,我认为我们低估了。我只是在会议上,有人在那里表达了安全行业被破坏的意见,它不会解决新的威胁。我不得不对象并说,不,它只是因为不同的东西而建造。回到大型机的早期,安全性的主要目的是保护来自访问权限的用户的数据,我们对目标攻击具有非常良好的安全性。然后我们经历了一个随机攻击时代,黑客寻找任何攻击的东西只是为了它的乐趣,这建立了一个伟大的行业来对抗病毒。然后我们使用网络攻击者,我们提出了一个抗蠕虫的行业。
但在过去的三四年中,由于目标攻击识别某些信息的价值,这是一项信息的价值,无论是F-35联合罢工战斗机的数据库,还有一定程度地发生了急剧发生。和凯文指出的攻击者已经意识到最简单的方法是通过这些开放的门一个没有守卫。
所以是的,我们处于一个全新的境界,但行业正在响应。我看到的尖端供应商开始成为信息经理。当他们对一个客户端攻击攻击时,他们很快就会匿名,并将其拉到他们的云中,所以他们的其余客户可以寻找类似的指标,无论是简单的IP地址还是使用的恶意软件类型或源域电子邮件。这是这里的大区别。我们开始认识到这些威胁演员。
Shimel:关于安全行业被打破的想法,这也是我听到的东西。这是这种悲观主义,不仅是安全行业,而且是安全行业,几乎是我们在这里铲起潮流的沙子。凯文,你在那里海洋与沙子相遇,你觉得悲观感吗?
克尔:是和否。我是一个现实主义者。如果有人说他们可以保护我100%,他们要么无知或撒谎。你需要一个众多的东西来保护自己。当我们去年遭到袭击时,这是一击进来的那个。我们有大约750个phishes。我们有大约50个奇怪的人看到他们和一个人点击的人,那个系统没有适当运行,恶意犯罪者在他们的盒子上脚跟,可以抓住凭据,然后开始移动在我们的网络上。因此,他们甚至没有使用恶意软件在去年爆发时,他们正在使用授权的凭据和零日走进来。它是因为我们最初没有看到发生了什么。它稍后在网络中检测,导致我们实现某些东西不对。在那一点上,这是一场猫和鼠标的游戏,或者,正如我们想说的那样,我们试图跟上他们。 When we realized we couldn't keep up tit-for-tat, we decided to disconnect from the network to prevent them from exfiltrating data. [Also see: "高级持久威胁强制它以重新思考安全优先级“
Shimel:从网络断开肯定不是长期解决方案。亚当,凯文可以缺少断开连接吗?
O'Donnell:根据您尝试保护的资产,从网络断开连接可以是特定实例的合理解决方案。如果您正在保护国家的核资产,则会有意义。但显然不是每个人都可以抓住这一点。如果凯文在手上有工具允许他说,“好的,这次攻击发生了,我可以识别这个人去的每一个地方,每一个系统都触摸了,而且范围的问题?”然后在该范围内响应,他可能已经能够反应,而无需脱机。在攻击发生后,给予攻击者的能力的工具对这种情况至关重要。
Shimel:好的。这会带来另一件我想投入理查德的事情。我已经听到了作为反应模型的正面安全模型讨论的这一点。但对我来说,它归结为这块核实:实现我们可能无法阻止所有进入的一切。部分安全从业者的角色是要了解某些事情,弄清楚它如何发生并阻止它造成更多伤害。理查德,你怎么看待这一点?
Stiennon:很多人都在攻击凯文的攻击中描述了你说你无法阻止一切,所以我们唯一的希望是在逃离数据之前检测并得到它们。我来了。它面对传统的“停止一切,预防性而不是反应”,但这是一种新的反应水平。这不是在周一早上来的,看着你的IDS日志,“哦,不。”这是屏幕上的屏幕 - 100%-100% - “哎呀,有人刚刚开了一个附件并感染了他的机器,并且已经下载了远程访问木马,它开始扫描我的网络。”或者,“哎呀,那家伙已经跳到了Active Directory服务器正在消耗我所有的身份,我们现在必须做点什么。”
如果你没有抓住它,那么它可能是到处都可以关闭网络,然后关闭自己,或者发现留下的代码的每一个小位和段。您必须能够找到它们,在转回网络之前关闭它们并清理它们。
克尔:让我建立。与我们一起,一旦他们进入并获得了一些凭据,他们将从该框移动到服务器,然后跨越另一个副本,然后他们保留了收集凭据,最终他们得到了我们的域凭据,那点就是那么多游戏结束。而且因为他们正在跨越我们的网络,他们正在触摸相当多的盒子 - 百分之百所 - 而且他们创造了如此多的后门,每次我们关闭他们打开另一个后门。这就是我们意识到我们无法阻止这种情况发生,无法阻止数据移开。
不幸的是,我们没有足够的id, IPS和其他监控工具看看他们触摸了什么,所以它是一个危险的决定断开与网络的连接。我的一些姐姐实验室在以后通过类似的实体袭击,他们决定不要断开连接,因为他们能够看到更多发生的事情以及他们所在的地方,而且我猜还有一些来自我们的教训。
所以你所做的是显然依赖风险。今天,我们更好地了解我们网络中发生的事情。我们重新成立以提供更好的监控,看看更好的事情,所以我们可以断开20-30台机器与20,000。
Shimel:你们在橡树岭谈论的那种资产是国家和战略性的,你不能承担冒险的风险。因此,断开作为停止信息的手段,肯定是可行的,而不是长期解决方案,但面对你所面对的东西,你还能做什么?但凯文,这不仅仅是有更多的ID和IPS,是吗?它有计划在发生这种情况时做出什么,而且我确定重新架构的一部分是在这种情况下再次发生的程序和流程,吧?
克尔:正确的。只是为了给它一些背景,作为一个CISO,我已经在奥克山脊上开始了大约两个月在发生这种情况之前。所以我还在学习实验室,当发生这种情况时,我要求我们的事件响应计划,有人伸出架子,吹过它的所有灰尘,并基本上是如何解决特洛伊木马或病毒在一个系统上。它与如何处理的无关高级持久威胁,它与如何以及何处断开或类似的东西无关。所以有很多经验教训非常迅速了解如何做出反应,不幸的是,这是很多临时,裤子的座位飞翔。
Shimel:Adam,像Sourcefire这样的公司是如何帮助Kevin和像他一样的人处在前线的?
O'Donnell:Sourcefire非常落后于“看到它,控制它”的想法。这意味着提供对网络进入的任何类型的连接或威胁,以及让用户控制威胁的能力。我们沿着这些线构建了所有产品和技术。因此,如果您通过网络进入的攻击,您会在您的IDS / IPS上看到它。如果它已达到主机端,您将使用我们的主机技术来查看引入的文件,这些文件引入的文件以及哪些系统与之交谈的系统。
为了解决凯文的问题,我们相信威胁对每个网络有所独特,因此我们希望提出允许特定网络运营商解决其特定威胁的工具。因此,我们使每个产品所有者都可以配置和适应的这些东西,我们为客户提供完全访问权限,因此他们可以生成自己的规则和签名,因为我们相信等待供应商来解决网络内部的特定威胁,尤其是其中一个由政府实体或一个不想分享这种威胁的私人组织,这对于允许客户控制威胁至关重要。
Shimel:理查德,如果像Sourcefire,Symantec,McAfee等公司一样,有关攻击的信息,所以会有全球威胁反应云?安全行业是否足够成熟?[也看:“启动设想CISO集体分享网络攻击信息“
Stiennon:它几乎没有足够的成熟,以分享该信息,并且攻击如此目标,无论如何都不会完全有效。我知道一个辩护承包商,对于他们关闭的每次攻击,试图将其纳回到他们要么检测到的指标,或者对来自国防工业基础信息共享网络的预知,这很容易最成熟。来自该网络的信息只帮助他们停止了大约20%的攻击,因此这一直需要这种情况需要内部情境感知。